3
RAS Server Windows 2003 Lokale Netze eingewählter User erreichen ?!?!?
Hallo Zusammen!
Wir haben in unserer Firma folgendes Problem und ich hoffe, ihr könnt mir weiterhelfen.
Wir haben einen RAS Server Windows 2003, den wir über eine öffentliche IP Adresse „ansteuern“ zur Einwahl „in“ unsere Hauptverwaltung nutzen und hierüber SAP, Outlook, Netzlaufwerke, Intranet etc. nutzen. Soweit klappt das alles bestens und zufriedenstellend.
Der User, der sich von außen über Bsp.weise eine DSL Leitung einwählt erhält einen virtuellen Netzwerkadapter mit einer vom RAS Server per DHCP zugewiesenen IP Adresse aus einem IP-Pool (Bsp. 10.11.12.2 – 10.11.12. 240)
Über die virtuelle IP Adresse (10.11.12.5) lassen sich die entfernten Rechner (Home- Office, Außenstellen, Außendienstmitarbeiter) „anpingen“ und via VNC oder Remotedesktop auch problemlos erreichen und „steuern“.
Die Verschlüsselung der VPN Einwahl erfolgt über L2TP mit einem IPSec Schlüssel.
Als „VPN-Client“ benutzen wir die bei Windows XP vorhandene Methode über die Einrichtung in der Netzwerkumgebung.
Auf dem Windows 2003 RAS Server haben wir wie folgt IP Forwarding eingestellt:
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters
Hier finden Sie den Eintrag "IPEnableRouter" als Datentyp REG_DWORD. Setzen Sie den Wert auf 1
und die Routingtabellen sind auch soweit gepflegt.
UNSER Problem:
Wir würden gerne von der Hauptverwaltung aus das LOKALE NETZWERK der Außenstellen, Home-Officemitarbeiter und Außendienstmitarbeitern erreichen.
(Bsp: Lokale IP des PCs eines Mitarbeiters192.168.100.5)
Die virtuelle IP des PCs die vom RAS Server zugewiesen wurde ( 10.11.12.5) ist erreichbar, jedoch nicht das LOKALE NETZ dahinter.
"Der Routing-Modus ist die einfachste Form der sicheren Kommunikation und stellt einen verschlüsselten Tunnel zwischen zwei Gegenstellen her, über den ausschließlich IP-Pakete geleitet werden (Layer 3). Dazu wird jeder Gegenstelle eine virtuelle IP-Adresse eines fiktiven Subnetzes zugewiesen (z. B. 10.8.0.1 und 10.8.0.2).
Der Zugriff auf das dahinter liegende Netzwerk ist grundsätzlich nicht direkt möglich (Point-to-Point Verbindung). Um die dortigen Adressen zu erreichen, muss die Gegenstelle die Datenpakete mittels IP-Forwarding und Einträgen in der Routingtabelle weitervermitteln."
Wer kann uns weiterhelfen und mir sagen, wie dies mit Windows 2003 Server und Windows XP zu realisieren ist?
Wir haben in unserer Firma folgendes Problem und ich hoffe, ihr könnt mir weiterhelfen.
Wir haben einen RAS Server Windows 2003, den wir über eine öffentliche IP Adresse „ansteuern“ zur Einwahl „in“ unsere Hauptverwaltung nutzen und hierüber SAP, Outlook, Netzlaufwerke, Intranet etc. nutzen. Soweit klappt das alles bestens und zufriedenstellend.
Der User, der sich von außen über Bsp.weise eine DSL Leitung einwählt erhält einen virtuellen Netzwerkadapter mit einer vom RAS Server per DHCP zugewiesenen IP Adresse aus einem IP-Pool (Bsp. 10.11.12.2 – 10.11.12. 240)
Über die virtuelle IP Adresse (10.11.12.5) lassen sich die entfernten Rechner (Home- Office, Außenstellen, Außendienstmitarbeiter) „anpingen“ und via VNC oder Remotedesktop auch problemlos erreichen und „steuern“.
Die Verschlüsselung der VPN Einwahl erfolgt über L2TP mit einem IPSec Schlüssel.
Als „VPN-Client“ benutzen wir die bei Windows XP vorhandene Methode über die Einrichtung in der Netzwerkumgebung.
Auf dem Windows 2003 RAS Server haben wir wie folgt IP Forwarding eingestellt:
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters
Hier finden Sie den Eintrag "IPEnableRouter" als Datentyp REG_DWORD. Setzen Sie den Wert auf 1
und die Routingtabellen sind auch soweit gepflegt.
UNSER Problem:
Wir würden gerne von der Hauptverwaltung aus das LOKALE NETZWERK der Außenstellen, Home-Officemitarbeiter und Außendienstmitarbeitern erreichen.
(Bsp: Lokale IP des PCs eines Mitarbeiters192.168.100.5)
Die virtuelle IP des PCs die vom RAS Server zugewiesen wurde ( 10.11.12.5) ist erreichbar, jedoch nicht das LOKALE NETZ dahinter.
"Der Routing-Modus ist die einfachste Form der sicheren Kommunikation und stellt einen verschlüsselten Tunnel zwischen zwei Gegenstellen her, über den ausschließlich IP-Pakete geleitet werden (Layer 3). Dazu wird jeder Gegenstelle eine virtuelle IP-Adresse eines fiktiven Subnetzes zugewiesen (z. B. 10.8.0.1 und 10.8.0.2).
Der Zugriff auf das dahinter liegende Netzwerk ist grundsätzlich nicht direkt möglich (Point-to-Point Verbindung). Um die dortigen Adressen zu erreichen, muss die Gegenstelle die Datenpakete mittels IP-Forwarding und Einträgen in der Routingtabelle weitervermitteln."
Wer kann uns weiterhelfen und mir sagen, wie dies mit Windows 2003 Server und Windows XP zu realisieren ist?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 135200
Url: https://administrator.de/contentid/135200
Printed on: April 23, 2024 at 17:04 o'clock
3 Comments
Latest comment
Hi
dein CLient müsste a) Portforwarding eingestellt haben (um damit als Gateway zu fungieren) und b) du müßtest deinem VPN Netz sagen er solle eine Route dorthin schlagen via GAteway des Clients. Ich kenne sowas schon nur auf Hardware Basis (Router mit VPN Funktion ausf beiden Seiten; bei uns ist es eine CheckPoint One mit Bintec DSL/ISDN Routern auf der Client Seite). Ich kann mir auch vorstellen das dies mit gateway Routern wie wingate möglich ist, nur sehe ich bei dynamischen Netzen ohne dyn Routen da eher Probleme. Die unsere Lösung geht da recht und kann mittels PKI/SecureID auch gut abgesichert werden.
Gruß
Sam
dein CLient müsste a) Portforwarding eingestellt haben (um damit als Gateway zu fungieren) und b) du müßtest deinem VPN Netz sagen er solle eine Route dorthin schlagen via GAteway des Clients. Ich kenne sowas schon nur auf Hardware Basis (Router mit VPN Funktion ausf beiden Seiten; bei uns ist es eine CheckPoint One mit Bintec DSL/ISDN Routern auf der Client Seite). Ich kann mir auch vorstellen das dies mit gateway Routern wie wingate möglich ist, nur sehe ich bei dynamischen Netzen ohne dyn Routen da eher Probleme. Die unsere Lösung geht da recht und kann mittels PKI/SecureID auch gut abgesichert werden.
Gruß
Sam
Hi SamvanRatt!
Vielen Dank für Deine Antwort. Portforwarding am Client haben wir natürlich aktiviert und auf dem RAS Server auch die Route ins gewünschte "Heimnetz" eingestellt. Jedoch leider ohne Erfolg, der RAS Server will das Netz einfach nicht finden.
Generell funktioniert das mit dynamischer IP- Adresse und fest zugewiesener Adresse, wir haben es an einer Außenstelle so "laufen" mit einer Checkpoint Edge, die zu ner (Nokia) Checkpoint Firewall NGX R65 connected. Weiterhin haben wir VPN Boxen (Netscreen Juniper 5GT) im Einsatz mit denen wir von statischer IP zu Statischer IP "connecten", diese Lösung sind aber recht kostenintensiv, da VPN Boxen und öffentliche, statische IP vom Provider gestellt werden. IKE Verschlüsselung. Alles Hardwarelösungen
Uns ist noch nicht so ganz klar, wie bei einem normalen DSL Zugang, von dem sich die Mitarbeiter alle einwählen, das LOKALE NETZWERK erreichbar sein soll ?!
Was passiert denn dann, wenn zufällig zwei Mitarbeiter an unterschiedlichen Standorten oder HomeOfficeplätzen das "gleiche" LOKALE NETZ konfigurieren?
Über mögliche Antworten und Hilfe wären wir Euch echt dankbar!
Vielen Dank für Deine Antwort. Portforwarding am Client haben wir natürlich aktiviert und auf dem RAS Server auch die Route ins gewünschte "Heimnetz" eingestellt. Jedoch leider ohne Erfolg, der RAS Server will das Netz einfach nicht finden.
Generell funktioniert das mit dynamischer IP- Adresse und fest zugewiesener Adresse, wir haben es an einer Außenstelle so "laufen" mit einer Checkpoint Edge, die zu ner (Nokia) Checkpoint Firewall NGX R65 connected. Weiterhin haben wir VPN Boxen (Netscreen Juniper 5GT) im Einsatz mit denen wir von statischer IP zu Statischer IP "connecten", diese Lösung sind aber recht kostenintensiv, da VPN Boxen und öffentliche, statische IP vom Provider gestellt werden. IKE Verschlüsselung. Alles Hardwarelösungen
Uns ist noch nicht so ganz klar, wie bei einem normalen DSL Zugang, von dem sich die Mitarbeiter alle einwählen, das LOKALE NETZWERK erreichbar sein soll ?!
Was passiert denn dann, wenn zufällig zwei Mitarbeiter an unterschiedlichen Standorten oder HomeOfficeplätzen das "gleiche" LOKALE NETZ konfigurieren?
Über mögliche Antworten und Hilfe wären wir Euch echt dankbar!
Im Endeffekt darf jedes Netz natürlich nur einmal sichtbar sein. Beim Forwarden wird ja normal NATing mit gemacht, alternativ richtiges Routing mit passenden Netzen. Wichtig ist eigentlich nur das dein RAS Server die Routen eben dynamisch bindet und konfiguriert. Im besten Fall (sowas habe ich bisher noch nicht gemacht) verweigert er die zweite Route da selbes Endnetz. Bei uns läuft das mit der obigen Konstellation nur mit DHCP Adressen des Providers (ENX) und beliebigen DSL Stellen der Telekom. Bei ISDN muß meist eine umkonfig gemacht werden. Da die Box das Routing/DHCP/... macht bekommt sie auch eine öffentliche IP (bei uns 10.x.y.z/255.255.255.248) und jeder der paar Anderen dann auch [klar das da nur zertifizierte Endgeräte angeschlossen werden dürfen, wie ipod, handy, PSP, und ab und an auch mal ein richtiger PC mit Drucker ]
Die Netze/Daten sieht natürlich nur dein RAS Server da er das Routing macht und nur er die Netze sieht; er ist dann halt Gateway. Nachteil ist halt das dein RAS Server/Gateway ja nie weiß was sich in den Netzen befindet, sprich keine Namensauflösung, keine Verbindlichkeiten, keine was auch immer. Damit der RAS Client überhaupt weiß was er dort hat muß er nicht nur Ports Forwarden sondern auch noch DHCP/DDNS spielen.
Gefährlich wird's aber wenn dein Netz dann einen offenen Zugang zum Inet hat, denn dann hast du jeden Angreifer gleich in der Firma oder du schottest deinen Client ab. Bei uns macht die Bintec dicht sobald sie einen VPN Tunnel aufgebaut hat. Da wir etwa 1k User in Heimarbeit haben mußte sich der Datenschützer da schon was überlegen bis es ausgereift war. Billig ist es nicht, aber der Datenschutz ist schon wichtig
Gruß
Sam
]Die Netze/Daten sieht natürlich nur dein RAS Server da er das Routing macht und nur er die Netze sieht; er ist dann halt Gateway. Nachteil ist halt das dein RAS Server/Gateway ja nie weiß was sich in den Netzen befindet, sprich keine Namensauflösung, keine Verbindlichkeiten, keine was auch immer. Damit der RAS Client überhaupt weiß was er dort hat muß er nicht nur Ports Forwarden sondern auch noch DHCP/DDNS spielen.
Gefährlich wird's aber wenn dein Netz dann einen offenen Zugang zum Inet hat, denn dann hast du jeden Angreifer gleich in der Firma oder du schottest deinen Client ab. Bei uns macht die Bintec dicht sobald sie einen VPN Tunnel aufgebaut hat. Da wir etwa 1k User in Heimarbeit haben mußte sich der Datenschützer da schon was überlegen bis es ausgereift war. Billig ist es nicht, aber der Datenschutz ist schon wichtig
Gruß
Sam
